تحديد أغراض معالجة البيانات الشخصية وكيفية التعامل معها. اللائحة الخاصة بمعالجة وحماية البيانات الشخصية الغرض من مثال معالجة البيانات الشخصية

تم تطوير هذا الطلب الخاص بمعالجة البيانات الشخصية (المشار إليه فيما يلي باسم الأمر) وفقًا للقانون الاتحادي الصادر في 27.07.2006. رقم 152-FZ "حول البيانات الشخصية". يحدد هذا الأمر إجراءات معالجة البيانات الشخصية والتدابير لضمان أمان البيانات الشخصية في CardsProService LLC من أجل حماية حقوق وحريات الشخص والمواطن عند معالجة بياناته الشخصية ، بما في ذلك حماية حقوق الخصوصية والشخصية والعائلية أسرار.

1. المصطلحات والتعاريف

1) معلومات شخصية- أي معلومات تتعلق بشكل مباشر أو غير مباشر بشخص طبيعي محدد أو يمكن التعرف عليه (موضوع البيانات الشخصية) ؛

2) المشغل (الزبون) - هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد ، بشكل مستقل أو بالاشتراك مع أشخاص آخرين ينظمون و (أو) ينفذون معالجة البيانات الشخصية ، وكذلك تحديد أغراض معالجة البيانات الشخصية ، وتكوين البيانات الشخصية البيانات المراد معالجتها ، الإجراءات (العمليات) التي تتم باستخدام البيانات الشخصية ؛

3) معالجة البيانات الشخصية- أي إجراء (عملية) أو مجموعة إجراءات (عمليات) يتم إجراؤها باستخدام أدوات التشغيل الآلي أو بدون استخدام هذه الأدوات مع البيانات الشخصية ، بما في ذلك الجمع والتسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخراج والاستخدام والنقل (التوزيع ، التوفير ، الوصول) ، تبدد الشخصية ، الحجب ، الحذف ، إتلاف البيانات الشخصية ؛

4) المعالجة الآلية للبيانات الشخصية- معالجة البيانات الشخصية باستخدام تكنولوجيا الكمبيوتر ؛

5) نشر البيانات الشخصية- الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لدائرة غير محددة من الأشخاص ؛

6) توفير البيانات الشخصية- الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لشخص معين أو دائرة معينة من الأشخاص ؛

7) منع البيانات الشخصية- التعليق المؤقت لمعالجة البيانات الشخصية (ما لم تكن المعالجة ضرورية لتوضيح البيانات الشخصية) ؛

8) إتلاف البيانات الشخصية- الإجراءات ، ونتيجة لذلك يصبح من المستحيل استعادة محتوى البيانات الشخصية في نظام معلومات البيانات الشخصية و (أو) نتيجة تدمير ناقلات البيانات الشخصية المادية ؛

9) الأشخاص المرخص لهم من قبل العميل- الأشخاص الذين يتصرفون وفقًا للاتفاق
السرية المبرمة مع العميل.

10) عنإخفاء هوية البيانات الشخصية- الإجراءات ، ونتيجة لذلك يصبح من المستحيل تحديد ملكية البيانات الشخصية من قبل موضوع معين من البيانات الشخصية دون استخدام معلومات إضافية ؛

11) نظام معلومات البيانات الشخصية- مجموعة من البيانات الشخصية الموجودة في قواعد البيانات وتقنيات المعلومات والوسائل التقنية التي تضمن معالجتها ؛

12) نقل البيانات الشخصية عبر الحدود- نقل البيانات الشخصية إلى
أراضي دولة أجنبية لسلطة دولة أجنبية أو شخص طبيعي أجنبي أو كيان قانوني أجنبي ؛

13) المنفذ- CardsProService LLC (123610 ، موسكو ، جسر Krasnopresnenskaya ، المبنى 12 ، مبنى المكاتب 1 ، معرف الغرفة ، الغرفة 42 ؛ OGRN 1157746550070).

2. الأمر بمعالجة البيانات الشخصية

2.1. العميل ، باعتباره مشغل البيانات الشخصية ، وفقًا للفقرة 3 من الفن. 6 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ، يوجه ، ويتعهد المقاول بمعالجة البيانات الشخصية للموضوعات ، لصالح العميل ووفقًا
اتفاقية المستخدم.

3. ترتيب تفاعل الأطراف

3.1. أساس المقاول لـ #nbsp ؛ معالجة البيانات الشخصية للمواضيع ، التي تتم لصالح العميل ، هو اتفاقية المستخدم.

3.2 الإجراء الخاص بتنظيم جمع موافقات الأشخاص المعنيين بالبيانات الشخصية لمعالجة ونقل بياناتهم الشخصية ، بالإضافة إلى أغراض معالجة البيانات الشخصية ، وتكوين البيانات الشخصية المراد معالجتها ، والإجراءات (العمليات) التي يتم إجراؤها باستخدام البيانات الشخصية:

3.2.1. الغرض من معالجة البيانات الشخصية.

يُعهد بمعالجة البيانات الشخصية من أجل تنفيذ برامج الولاء.

3.2.2. قائمة البيانات الشخصية ، التي يعهد بمعالجتها إلى المقاول

  • الاسم الكامل؛
  • مكان وسنة وتاريخ الميلاد ؛
  • رقم الاتصال؛
  • عنوان التسجيل؛
  • عنوان مكان الإقامة الفعلي (الإقامة) ؛
  • بيانات جواز السفر (سلسلة ، رقم جواز السفر ، من قبل من ومتى صدر) ؛
  • رقم الهاتف (المنزل ، العمل ، الجوال).
3.2.3. قائمة الإجراءات (العمليات) مع #nbsp ؛ البيانات الشخصية التي تم توجيه المقاول للقيام بها:
  • جمع البيانات الشخصية.
  • تنظيم البيانات الشخصية.
  • تراكم البيانات الشخصية.
  • استخدام البيانات الشخصية لتنفيذ برامج الولاء والتواصل مع أصحاب البيانات الشخصية.
  • تخزين البيانات الشخصية.
  • توضيح (تحديث ، تغيير) البيانات الشخصية:

  • الاستخراج (التفريغ) - بأمر كتابي إضافي من العميل.
  • تبدد شخصية البيانات الشخصية:
    -
    - بناءً على طلب قانوني لموضوع البيانات الشخصية ، بإخطار كتابي إلزامي من العميل ؛
    - بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.
  • حظر البيانات الشخصية:
    - بأمر كتابي إضافي من العميل ؛
    - بناءً على طلب قانوني لموضوع البيانات الشخصية ، بإخطار كتابي إلزامي من العميل ؛
    - بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.
  • حذف البيانات الشخصية:
    - بأمر كتابي إضافي من العميل ؛
    - بناءً على طلب قانوني لموضوع البيانات الشخصية ، بإخطار كتابي إلزامي من العميل ؛
    - بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.
  • إتلاف البيانات الشخصية - بأمر كتابي إضافي من العميل.
3.2.4. إجراء معالجة البيانات الشخصية

يجب أن تقتصر معالجة البيانات الشخصية على تحقيق أغراض مشروعة ومحددة مسبقًا. لا يجوز معالجة البيانات الشخصية التي لا تتوافق مع أغراض جمع البيانات الشخصية.
لا يجوز الجمع بين قواعد البيانات التي تحتوي على بيانات شخصية ، والتي تتم معالجتها لأغراض لا تتوافق مع بعضها البعض.
فقط البيانات الشخصية التي تلبي أغراض معالجتها تخضع للمعالجة.
يجب أن يتوافق محتوى ونطاق البيانات الشخصية المعالجة مع الأغراض المعلنة للمعالجة. يجب ألا تكون البيانات الشخصية المعالجة مفرطة فيما يتعلق بالأغراض المعلنة لمعالجتها.
عند معالجة البيانات الشخصية ، يجب ضمان دقة البيانات الشخصية وكفايتها وكذلك ملاءمتها فيما يتعلق بأغراض معالجة البيانات الشخصية.
يجب أن يتم تخزين البيانات الشخصية في شكل يسمح بتحديد موضوع البيانات الشخصية ، ليس أكثر مما تتطلبه أغراض معالجة البيانات الشخصية ، ما لم تنص شروط العقد على خلاف ذلك. تخضع البيانات الشخصية المعالجة للتدمير أو نزع الشخصية عند تحقيق أغراض المعالجة أو في حالة فقدان الحاجة لتحقيق هذه الأغراض ، ما لم تنص شروط العقد على خلاف ذلك.

3.2.5. تنظيم حماية البيانات الشخصية

كائنات الحماية

  • المعلومات التي تحتوي على البيانات الشخصية للموضوعات ؛
  • وسائط الآلة التي تحتوي على البيانات الشخصية للمواضيع ؛
  • أنظمة معلومات البيانات الشخصية ؛
  • البيانات الشخصية للموضوعات الواردة في قواعد البيانات الإلكترونية لأنظمة معلومات البيانات الشخصية.
3.2.6. تدابير لتنظيم وضمان أمن البيانات الشخصية

لضمان أمن البيانات الشخصية ، يجب على المقاول اتخاذ الإجراءات التالية:

  • التدابير القانونية والتنظيمية والتقنية اللازمة أو ضمان اعتمادها لحماية البيانات الشخصية من الوصول غير المصرح به أو العرضي إليها ، والتدمير والتعديل والحظر والنسخ وتوفير وتوزيع البيانات الشخصية ، وكذلك من الإجراءات غير القانونية الأخرى فيما يتعلق بالبيانات الشخصية .
  • ضمان وصول موظفي المقاول إلى البيانات الشخصية التي تتم معالجتها نيابة عن العميل ، بعد التوقيع على الالتزام بعدم الكشف عن البيانات الشخصية ، ودراسة متطلبات العميل لمعالجة وحماية البيانات الشخصية ، واللوائح المحلية التي تحكم المنظمة وضمان الحماية البيانات الشخصية وتمرير التعليمات حول إجراءات الاتصال بالبيانات الشخصية.
  • تحديد التهديدات لأمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية.
  • تطبيق التدابير التنظيمية والفنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية اللازمة لتلبية متطلبات حماية البيانات الشخصية ، والتي يضمن تنفيذها مستويات حماية البيانات الشخصية التي وضعتها حكومة الاتحاد الروسي.
  • تقييم فعالية الإجراءات المتخذة لضمان أمن البيانات الشخصية قبل بدء تشغيل نظام معلومات البيانات الشخصية.
  • محاسبة شركات نقل البيانات الشخصية للآلة.
  • الكشف عن حقائق الوصول غير المصرح به إلى البيانات الشخصية واتخاذ الإجراءات اللازمة.
  • استعادة البيانات الشخصية التي تم تعديلها أو إتلافها بسبب الوصول غير المصرح به إليها.
  • وضع قواعد للوصول إلى البيانات الشخصية التي تتم معالجتها في نظام معلومات البيانات الشخصية ، وكذلك ضمان تسجيل وحساب جميع الإجراءات التي يتم تنفيذها مع البيانات الشخصية في نظام معلومات البيانات الشخصية.
  • السيطرة على الإجراءات المتخذة لضمان أمن البيانات الشخصية ومستوى أمن نظم المعلومات الشخصية.
3.2.7. إتلاف البيانات الشخصية

يمكن للمقاول القيام بتدمير البيانات الشخصية للأشخاص ، فقط:

  • بأمر كتابي إضافي من العميل ؛
  • بناءً على الطلب القانوني لموضوع البيانات الشخصية ، مع إخطار كتابي إلزامي من العميل ؛
  • بناءً على طلب السلطات التنظيمية الحكومية لحماية حقوق موضوعات البيانات الشخصية ، بإخطار كتابي إلزامي من العميل.
يجب ضمان تدمير البيانات الشخصية المعالجة للأشخاص المعنيين وضمان استحالة استعادة محتوى البيانات الشخصية في نظام المعلومات الخاص بالبيانات الشخصية أو شركات النقل التي تحتوي عليها.

3.2.8. إجراء إنهاء معالجة البيانات الشخصية

يتم إنهاء معالجة البيانات الشخصية:

  • في حالة إنهاء العلاقة التعاقدية التي هي أساس معالجة البيانات الشخصية ؛
  • بأمر كتابي إضافي من العميل ؛
  • بأمر كتابي من السلطات التنظيمية للدولة.
في جميع حالات إنهاء معالجة البيانات الشخصية ، يتم تحديد الغرض الإضافي لقواعد البيانات من قبل العميل من خلال إعداد إشعار كتابي بالغرض الإضافي لقواعد البيانات الشخصية.

4. حقوق والتزامات الأطراف

4.1 يتعهد العميل:

4.1.1. في حالة سحب موضوع البيانات الشخصية الموافقة على معالجة البيانات الشخصية وعدم وجود أسباب محددة في الفقرات 2-11 من الجزء 1 من المادة 6 والجزء 2 من المادة 10 والجزء 2 من المادة 11 من القانون الاتحادي بتاريخ 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية التي يمكن معالجتها
البيانات الشخصية دون موافقة الموضوع ، أرسل إلى المقاول أمرًا كتابيًا للقيام بعمل لحذف البيانات الشخصية للموضوع أو نزع الطابع الشخصي عنها.

4.1.2. عند استلام طلب من موضوع البيانات الشخصية لتقديم المعلومات المحددة في الجزء 7 من المادة 14 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ، أو متطلبات الموضوع لتقليل بياناته الشخصية ، أو حظرها أو إتلافها في حالة ما إذا كانت البيانات الشخصية غير مكتملة ، أو قديمة ، أو غير دقيقة ، أو تم الحصول عليها بشكل غير قانوني أو غير ضرورية للغرض المعلن للمعالجة ، أرسل إلى المقاول أمرًا مكتوبًا إلى
تقديم المعلومات ، أو تنفيذ إجراءات محددة مع البيانات الشخصية للموضوع.

4.2 يتعهد المقاول بما يلي:

4.2.1. إجراء معالجة البيانات الشخصية على أساس قانوني ، بما يتفق بدقة مع شروط هذا الأمر.

4.2.2. بناءً على أول طلب كتابي من العميل ، قم بنقل (إعادة) قواعد البيانات الشخصية التي تمت معالجتها نيابة عنه بالطريقة المحددة في الطلب.

4.2.4. بناءً على طلب الهيئة المخولة لحماية حقوق الأشخاص المعنيين بالبيانات الشخصية ، قدِّم دليلًا على استلام موافقات الأشخاص المعنيين بالبيانات الشخصية التي تم جمعها بموجب هذا الأمر لمعالجة بياناتهم الشخصية أو دليل على وجود الأسباب المحددة في الفقرات 2-11 من الجزء 1 من المادة 6 ، والجزء 2 من المادة 10 والجزء 2 من المادة 11 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ، مما يسمح بمعالجة البيانات الشخصية بدون موافقة الموضوع.

هذه المعلومات هي أي إجراء أو عملية مع البيانات الشخصية للموضوع: التجميع ، التسجيل ، التنظيم ، التراكم ، التخزين ، التوضيح ، الاستخراج ، الاستخدام ، النقل ، تبديد الشخصية ، الحجب ، الحذف ، الإتلاف.

لماذا نجمع معلومات عن الموضوع ونوافق على تحليله؟

للعميل / المريض

تنتمي المعلومات المتعلقة بالحالة الصحية للمواطن إلى فئة خاصة من البيانات الشخصية.وفقًا للجزء 2 ، البند 4 ، الفن. 10 من القانون الاتحادي رقم 152 ، يُسمح بمعالجة هذه المعلومات دون موافقة الموضوع ، بشرط أن يتم تنفيذها لأغراض:

  • إنشاء التشخيص
  • الوقاية من المرض؛
  • تقديم الخدمات الطبية والطبية والاجتماعية.

تنطبق هذه القاعدة على الحالات التي تتم فيها المعالجة بواسطة طبيب محترف ملزم بالحفاظ على الأسرار الطبية وفقًا لتشريعات الاتحاد الروسي.

الاستثناءات هي تلك الحالات التي يستحيل فيها الحصول على الموافقة ،لكنها ضرورية لحماية حياة أو صحة المريض.

إذا استخدم أي شخص أي خدمة - أبرم اتفاقية ، وأبرم قرضًا - أي أنه عميل ، فيمكن أيضًا معالجة المعلومات الشخصية المتعلقة به وفقًا للقانون الاتحادي رقم 152.

يمكن استخدام بيانات العميل من أجل:

  1. تقديم الاستشارات والمعلومات وخدمات الوساطة.
  2. إبرام وتنفيذ العقد مع العميل.
  3. إدارة خدمات الموارد البشرية والمحاسبة.
  4. المعاملات الأخرى التي لا تحظرها تشريعات الاتحاد الروسي.

لموظف منظمة

صاحب العمل له الحق لموظفيه ، وهو منصوص عليه في الفن. 22 FZ رقم 152. أغراض معالجة البيانات الشخصية في المنظمة:

  • تسجيل عقود القانون المدني مع المواطنين ، المنصوص عليها في تشريعات الاتحاد الروسي وميثاق الشركة.
  • سجلات الموظفين والامتثال للقوانين وتسجيل الالتزامات بموجب عقود العمل والقانون المدني.
  • المساعدة في التوظيف والتعليم أو الترقية والتسجيل واستخدام المزايا.
  • ضمان السلامة الشخصية للموظف وسلامة الممتلكات.
  • الالتزام بمتطلبات تشريعات الضرائب والمعاشات عند حساب الاشتراكات في تأمين المعاشات.
  • تشكيل الإحصاءات وفقا لقوانين العمل والضرائب والقوانين الاتحادية.
  • مراقبة العمل الذي يؤديه الموظف.

(المادة 86 من "قانون العمل للاتحاد الروسي" المؤرخ 30 ديسمبر 2001 رقم 197-FZ). المعلومات الشخصية عن الموظف المصنفة على أنها "خاصة" لا تخضع للمعالجة من قبل صاحب العمل.

يجب تحديد فترة صلاحية الموافقة على معالجة البيانات الشخصية ، ويمكن أن يكون تاريخًا أو حدثًا محددًا ، على سبيل المثال ، الفصل أو سحب الموافقة من قبل الموظف.

أمثلة

الخدمات المصرفية

بنك "مالي". الغرض من معالجة البيانات الشخصية للعميل هو إجراء العمليات المصرفية وغيرها ،مشتمل:

  1. فتح الحسابات المصرفية والاحتفاظ بها.
  2. تحويل الأموال عن طريق الحسابات المصرفية.
  3. تحويل الأموال من الأفراد - الأفراد والكيانات القانونية دون فتح حساب مصرفي.
  4. شراء وبيع العملات الأجنبية.
  5. تقديم خدمات الاستشارات والمعلومات ، بما في ذلك من خلال عنوان البريد الإلكتروني.

منظمة طبية

منظمة طبية "الصحة". الغرض من المعالجة:

  • تنظيم الرعاية الطبية.
  • إصدار الوصفات الميسرة.
  • دفع الفواتير في نظام CHI و VHI.
  • استخدم للإحصاء والعمل البحثي.
  • الإبلاغ عن طريق الرسائل النصية القصيرة بنتائج التحليلات والترقيات الجارية وجدول عمل المتخصصين.

خاتمة

مع العميل أو المريض ، ليس كل شيء بهذه البساطة كما يبدو للوهلة الأولى.تمامًا مثل ذلك ، بدون موافقة وتحذير ، لا يمكن نقلها إلى أطراف ثالثة أو استخدامها لتلك الأغراض التي لا يتفق معها الموضوع. إذا واجه شخص ما حقيقة أن بياناته الشخصية قد تم تسريبها ، فيمكنه دائمًا تقديم طلب إلى Roskomnadzor أو إلى المحكمة.

لم تجد إجابة لسؤالك؟ اكتشف، كيف تحل مشكلتك - اتصل الآن:

وفقًا للجزء 2 من الفن. 85 من قانون العمل في الاتحاد الروسي معالجة البيانات الشخصية للموظف -هو استلام أو تخزين أو دمج أو نقل أو أي استخدام آخر للبيانات الشخصية للموظف.

قد تتم معالجة البيانات الشخصية للموظف فقط لغرض ضمان الامتثال للقوانين والإجراءات القانونية التنظيمية الأخرى ، ومساعدة الموظف في التوظيف والتدريب والترقية ، وضمان الأمن الحضري ، فضلاً عن التحكم في كمية ونوعية العمل. التي يؤديها وضمان سلامة الممتلكات (البند 1 ، المادة 86 من قانون العمل في الاتحاد الروسي).

وفقا للفقرة 3 من الفن. 3 من القانون الفيدرالي "بشأن البيانات الشخصية" ، فإن معالجة البيانات الشخصية هي إجراءات (عمليات) مع البيانات الشخصية ، بما في ذلك الجمع والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخدام والتوزيع (بما في ذلك النقل) وتبديد الشخصية ، حظر ، إتلاف البيانات الشخصية. يجب أن يؤخذ في الاعتبار أنه بغض النظر عن عدد العمليات الوظيفية المدرجة في التشريع ، يجب أن تغطي اللوائح القانونية جميع مراحل معالجة البيانات الشخصية - من الاستلام إلى الإتلاف ، دون أي استثناءات واستثناءات.

يشير القانون المذكور إلى مبادئ معالجة البيانات الشخصية على النحو التالي:

  • شرعية أغراض وطرق المعالجة وحسن النية ؛
  • الامتثال لأغراض المعالجة للأغراض المحددة مسبقًا والمعلنة أثناء جمع البيانات الشخصية ، وكذلك سلطة المشغل ؛
  • الامتثال لحجم وطبيعة البيانات المعالجة ، وطرق المعالجة لأغراض معالجتها ؛
  • موثوقية البيانات الشخصية ، ومدى كفايتها لأغراض المعالجة ، وعدم مقبولية معالجة البيانات الشخصية التي لا تتعلق بالأغراض المذكورة أثناء جمع البيانات ؛
  • عدم جواز دمج قواعد بيانات أنظمة المعلومات الشخصية التي تم إنشاؤها لأغراض غير متوافقة.

تبدأ معالجة البيانات الشخصية للموظف باستلامه. كقاعدة عامة ، يجب الحصول على جميع البيانات الشخصية من الموظف نفسه. في حالات استثنائية ، عندما لا يمكن الحصول على البيانات الشخصية للموظف إلا من طرف ثالث ، يجب إخطار الموظف بذلك مسبقًا ويجب الحصول على موافقة خطية منه. يلتزم صاحب العمل بإبلاغ الموظف عن الأغراض والمصادر المزعومة وطرق الحصول على البيانات الشخصية ، فضلاً عن طبيعة البيانات الشخصية التي سيتم الحصول عليها وعواقب رفض الموظف إعطاء موافقة خطية لتلقيها (البند 3 من المادة 86 من قانون العمل في الاتحاد الروسي). ومع ذلك ، لا يحق لصاحب العمل تلقي ومعالجة البيانات الشخصية للموظف عن معتقداته السياسية والدينية وغيرها من معتقداته وحياته الخاصة (البند 4 من المادة 86 من قانون العمل في الاتحاد الروسي). أيضًا ، لا يمكن لصاحب العمل طلب معلومات حول الحالة الصحية للموظف ، إذا كان هذا لا ينطبق على حل مشكلة قدرة الموظف على أداء وظيفة العمل (المادة 88 من قانون العمل في الاتحاد الروسي).

يفرض قانون العمل في الاتحاد الروسي متطلبات منفصلة على تنظيم وتكنولوجيا معالجة البيانات الشخصية من قبل صاحب العمل. إن الالتزام بتعريف الموظفين وممثليهم ضد التوقيع على وثائق صاحب العمل التي تحدد إجراءات معالجة البيانات الشخصية للموظفين ، وكذلك حقوقهم والتزاماتهم في هذا المجال ، يعني الحاجة إلى تطوير واعتماد قانون تنظيمي محلي مناسب. يمكن الإشارة إلى مثل هذا الفعل ، بناءً على تفاصيل النشاط وتقدير صاحب العمل ، على أنه لائحة أو تعليمات ، وكقاعدة عامة ، يتضمن الأقسام التالية:

  • المفاهيم والأحكام الأساسية ؛
  • معالجة البيانات الشخصية للموظف ؛
  • تشكيل البيانات الشخصية للموظف ؛
  • المحاسبة وتخزين ونقل البيانات الشخصية للموظف ؛
  • حقوق والتزامات الموظف في مجال معالجة وحماية بياناته الشخصية.

يحدد مثل هذا القانون القانوني التنظيمي المحلي نظام السرية (الوصول المحدود) للبيانات الشخصية للموظف مع صاحب عمل معين. يُطلب من موظفي صاحب العمل الذين يتلقون البيانات الشخصية للموظف الامتثال لهذا النظام ، والذي يجب الإشارة إليه ليس فقط في توصيف وظائفهم ، ولكن أيضًا في عقود العمل المبرمة معهم. اللائحة (التعليمات) المتعلقة بحماية البيانات الشخصية هي الوثيقة الرئيسية التي تعكس تفاصيل معالجة ونقل البيانات الشخصية للموظف داخل مؤسسة معينة ، من رائد أعمال فردي معين. إذا كان هناك مكون آلي في إطار هذا النشاط ، فليس لصاحب العمل الحق في اتخاذ قرارات بشأن الموظف بناءً على البيانات الشخصية التي تم الحصول عليها فقط نتيجة للمعالجة الآلية أو الاستلام الإلكتروني (البند 6 من المادة 86 من قانون العمل للاتحاد الروسي). لا يجوز أن يقتصر صاحب العمل على اعتماد حكم بشأن حماية البيانات الشخصية للموظفين في مؤسسته. ومع ذلك ، فإن وجود هذا القانون المحلي إلزامي ، ويعتبر غيابه من قبل مفتشية العمل الحكومية انتهاكًا خطيرًا لقانون العمل.

لهذا وغيره من الانتهاكات للقواعد التي تحكم الاستلام والمعالجة والموظف ، يجوز لصاحب العمل تقديم الجناة إلى المسؤولية المادية والتأديبية والهيئات الحكومية ذات الصلة - المدنية والإدارية والجنائية.

يتم تنفيذه على أساس تنفيذ القوانين واللوائح الأخرى.

ما هي معالجة البيانات الشخصية؟ تتضمن هذه العملية الخطوات التالية:

يغطي التنظيم القانوني للعمل مع البيانات الشخصية جميع العمليات ومراحل العمل معهم.

هدف

ما هي معالجة البيانات الشخصية؟ تتم معالجة البيانات الشخصية للموظف في المؤسسة ، في المنظمة من أجل تسهيله.

الأغراض الرئيسية لمعالجة البيانات الشخصية:

  • في العمل
  • في الجهاز في مؤسسة تعليمية أو للتدريب ، للتدريب المتقدم ؛
  • من أجل حماية تنظيم العمل ؛
  • للترقية والمراقبة ، للفرص الوظيفية ؛
  • للتحكم في كمية ونوعية العمل المنجز.

ينص التشريع على تجميع ونقل البيانات الشخصية للموظف فقط لغرض تنميته والاستخدام المناسب لقدراته وخبراته. , تشمل أهدافًا متعددة الوظائف.

يشمل الغرض من معالجة البيانات الشخصية للموظفين استخدام ومعالجة البيانات الشخصية من خلال توليفها وترابطها ، والتي تحدد أهمية قدرات الموظف في سياق تنظيم عملية الإنتاج.

لا يمكن تغيير الأهداف المحددة والمعلنة لمعالجة البيانات الشخصية دون إخطار الموظف.

من يتم تنفيذه؟

تُفهم البيانات الشخصية على أنها معلومات تحتوي على معلومات أساسية عن شخص يهم دائرة معينة من ممثلي الدولة والخدمات الأخرى.

على وجه الخصوص ، في الإنتاج (في منظمة) ، تهم البيانات الشخصية صاحب العمل ، الذي يدير تنظيم العمل في الإنتاج بناءً على معلومات حول موظفيه.

يحق لصاحب العمل طلب أي بيانات شخصية متوفرة في سجلات الموظف. بالإضافة إلى ذلك ، فإن الوصول إلى البيانات الشخصية له دائرة محدودة من الأشخاص الذين يقومون بأعمال تشغيلية. وكقاعدة عامة ، هؤلاء هم موظفي الأمانة والموظفين.

يتم توجيه المشغل الذي يقوم بأنشطة المعلومات مع البيانات الشخصية ، قبل بدء العمل المعين. يتعرف على قواعد العمل والمبادئ التي تحظر الكشف عن المعلومات الواردة في البيانات الشخصية.

يمكن أن يؤدي تنفيذ أنواع العمل المدرجة إلى تحقيق الأهداف التي تسببت في جمع المعلومات فقط. يعتبر إساءة استخدام البيانات الشخصية أو الكشف عنها انتهاكًا جسيمًا ، يتم فرض المسؤولية عنه.

الانتهاكات

كما تمت مناقشته سابقًا ، يتم اعتبار الانتهاكات في معالجة البيانات الشخصية:


يخضع عمل المشغل بالبيانات الشخصية لرقابة صارمة من قبل الخدمات المصرح بها ، ولأوجه القصور والانتهاكات غير المقصودة أو المتعمدة ، يتحمل المشغل المسؤولية.

بالنسبة لجميع الإجراءات غير المصرح بها في معالجة البيانات الشخصية ، قد يتبع العقاب: تأديبيًا ، وإداريًا ، وفي بعض الحالات - جنائيًا.

في 1 يوليو 2017 ، دخل القانون الاتحادي رقم 13-FZ المؤرخ 7 فبراير 2017 حيز التنفيذ ، والذي يعدل الفن. 13.11 من قانون المخالفات الإدارية وينص على توسيع قائمة أسباب رفع المسؤولية الإدارية عن x غير القانوني وزيادة كبيرة في الغرامات.

إحدى المستندات الإلزامية التي يجب على مشغل البيانات الشخصية إعدادها من أجل الامتثال لمتطلبات القانون الفيدرالي الصادر في 27 يوليو 2006 رقم 152-FZ تسمى سياسة معالجة البيانات الشخصية ، والتي تشرح كيفية تعامل الشركة مع البيانات من الموظفين والعملاء والأفراد الآخرين. هذا الملف متاح مجانًا على جميع المواقع تقريبًا التي لديها أي شكل من أشكال جمع البيانات الشخصية.

كيفية وضع سياسة معالجة البيانات الشخصية بشكل صحيح ، ما الأقسام التي يجب تضمينها؟ تقدم Roskomnadzor توضيحات حول هذه القضايا.

هيكل سياسة معالجة البيانات الشخصية

  • الأحكام العامة
  • أغراض جمع البيانات الشخصية
  • الأسس القانونية لمعالجة البيانات الشخصية
  • نطاق وفئات البيانات الشخصية المعالجة ، وفئات مواضيع البيانات الشخصية
  • إجراءات وشروط معالجة البيانات الشخصية
  • تحديث البيانات الشخصية وتصحيحها وحذفها وإتلافها ، والاستجابة لطلبات الأشخاص للوصول إلى البيانات الشخصية

1. الأهداف العامة

في هذا القسم ، أنت تجيب فعليًا على السؤال - ما هي سياسة معالجة البيانات الشخصية؟ كما يشرح المفاهيم الأساسية المستخدمة في المستند ، بالإضافة إلى حقوق والتزامات المشغل وموضوع البيانات الشخصية.

2. أغراض جمع البيانات الشخصية

فن. تتطلب المادة 5 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ تحديد أغراض محددة ومشروعة لجمع البيانات. لذلك ، قد لا تتم معالجة البيانات الشخصية التي لا تتوافق مع هذه الأغراض.

يشير Roskomnadzor إلى أن أغراض معالجة البيانات الشخصية قد تحدث ، بما في ذلك:

  • من تحليل الإجراءات القانونية التي تنظم أنشطة المشغل ؛
  • من أغراض الأنشطة التي نفذها المشغل بالفعل ؛
  • من الأنشطة المنصوص عليها في الوثائق التأسيسية للمشغل ؛
  • من العمليات التجارية المحددة للمشغل في أنظمة معلومات محددة للبيانات الشخصية (وفقًا للأقسام الهيكلية للمشغل وإجراءاتها فيما يتعلق بفئات معينة من موضوعات البيانات الشخصية).

3. الأسس القانونية لمعالجة البيانات الشخصية

القانون الاتحادي رقم 152-FZ الصادر في 27 يوليو 2006 ليس أساسًا قانونيًا لمعالجة البيانات الشخصية. يتم تنفيذ هذا الدور من خلال الأفعال القانونية التي يعالج المشغل البيانات وفقًا لها.

وبالتالي ، في سياسة معالجة البيانات ، كأسباب قانونية ، يمكنك تحديد: القوانين الفيدرالية والأفعال القانونية التنظيمية المعتمدة على أساسها والتي تنظم العلاقات المتعلقة بأنشطة المشغل ؛ المستندات القانونية للمشغل ؛ العقود المبرمة بين المشغل وموضوع البيانات الشخصية ؛ الموافقة على معالجة البيانات الشخصية (في الحالات التي لا تنص عليها تشريعات الاتحاد الروسي صراحة ، ولكن تتوافق مع سلطة المشغل).

4. نطاق وفئات البيانات الشخصية المعالجة ، وفئات مواضيع البيانات الشخصية

من المهم ألا تختلف كمية البيانات الشخصية التي تتم معالجتها عن الأغراض المعلنة للمعالجة.

قد تشمل فئات موضوعات البيانات الشخصية: الموظفون - الحاليون والسابقون ، والمرشحون للوظائف الشاغرة ، وأقارب الموظفين ، والعملاء والأطراف المقابلة (الأفراد) ، وممثلي أو موظفي العملاء والأطراف المقابلة.

يلفت Roskomnadzor الانتباه إلى حقيقة أنه بالنسبة لكل فئة من الموضوعات وفيما يتعلق بأغراض محددة ، يجب الإشارة إلى جميع البيانات الشخصية التي تمت معالجتها. بشكل منفصل ، يتم وصف جميع حالات معالجة الفئات الخاصة من البيانات الشخصية والبيانات الشخصية البيومترية (إن وجدت).

5. إجراءات وشروط معالجة البيانات الشخصية

ما هو مدرج في هذا القسم:

  • قائمة الإجراءات التي تم تنفيذها باستخدام البيانات الشخصية ؛
  • طرق معالجة البيانات الشخصية ؛
  • شروط معالجة البيانات الشخصية.

إذا كان المشغل يتفاعل مع أطراف ثالثة ، كجزء من تحقيق أهداف معالجة البيانات الشخصية ، فإنه يحتاج إلى:

  • شرح شروط نقل البيانات الشخصية إلى أطراف ثالثة (بما في ذلك نقل البيانات عبر الحدود) ؛
  • الإشارة إلى اسم وموقع الأطراف الثالثة ؛
  • الإشارة إلى أغراض نقل البيانات ونطاقها ؛
  • اذكر إجراءات المعالجة وطرقها وشروط المعالجة الأخرى ، بما في ذلك متطلبات حماية البيانات الشخصية المعالجة.

المشغل له الحق في نقل البيانات الشخصية إلى هيئات التحقيق والتحقيق ، فضلا عن الهيئات المخولة الأخرى على الأسس المنصوص عليها في القانون.

يجب أن تتضمن سياسة معالجة البيانات الشخصية معلومات حول الامتثال لمتطلبات سرية البيانات الشخصية (تم تسميتها في المادة 7 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ) ومعلومات حول اتخاذ الإجراءات (الجزء 2 من المادة 18.1 ، الجزء 1 من المادة 19).

بالإضافة إلى ذلك ، يجب على المشغل تحديد شرط إنهاء معالجة البيانات الشخصية. قد يكون هذا هو تحقيق أغراض المعالجة ، وانتهاء صلاحية الموافقة على المعالجة ، وسحب موافقة موضوع البيانات الشخصية على المعالجة ، وتحديد معالجة البيانات غير القانونية.

يجب إيلاء اهتمام خاص لقضية مثل تخزين البيانات الشخصية. أولاً ، يجب استدعاء المواعيد النهائية. ثانيًا ، يتم استخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي. ثالثًا ، يأخذ في الاعتبار حقيقة أن التخزين يجب أن يتم في شكل يسمح بتحديد موضوع البيانات الشخصية التي لم تعد تتطلبها أغراض المعالجة. رابعًا ، من الضروري ذكر شروط التخزين الأخرى ، بما في ذلك عند معالجة البيانات دون استخدام أدوات التشغيل الآلي.

6. تحديث وتصحيح وحذف وإتلاف البيانات الشخصية ، والاستجابة لطلبات الأشخاص للوصول إلى البيانات الشخصية

حسب الفن. 21 No. 152-FZ ، يجب تحديث البيانات الشخصية بواسطة المشغل إذا تم تأكيد حقيقة عدم دقة البيانات الشخصية. الأمر نفسه ينطبق على تأكيد حقيقة المعالجة غير القانونية.

تخضع البيانات الشخصية للتدمير عندما تتحقق أغراض معالجتها وفي حالة سحب موضوع البيانات الشخصية الموافقة على معالجتها ، ما لم ينص العقد على خلاف ذلك ، الطرف الذي يكون المستفيد أو الضامن له موضوع البيانات الشخصية ؛ خلافًا لذلك ، لا يتم توفيره بموجب اتفاقية أخرى بين المشغل وموضوع البيانات الشخصية. لا يحق للمشغل إجراء المعالجة دون موافقة موضوع البيانات الشخصية على الأسس المنصوص عليها في القانون الاتحادي رقم 152-FZ المؤرخ 27 يوليو 2006 أو القوانين الفيدرالية الأخرى.

بناء على الفن. 20 ، يلتزم المشغل بإبلاغ موضوع البيانات الشخصية حول معالجة البيانات الشخصية التي يقوم بها عند الطلب.

توصي Roskomnadzor بأن تتضمن سياسة معالجة البيانات الشخصية إجراءات للرد على الطلبات والنداءات من أصحاب البيانات الشخصية وممثليهم والهيئات المخولة فيما يتعلق بعدم دقة البيانات والمعالجة غير القانونية وسحب الموافقة والوصول إلى بياناتهم. لن يكون من غير الضروري إضافة الأشكال المناسبة من الطلبات والطعون إلى السياسة.

وضع سياسة معالجة البيانات الشخصية في المكتب وعلى الموقع الإلكتروني

يحق لأي شخص تتم معالجة بياناته من قبل الشركة التعرف على سياسة معالجة البيانات الشخصية. لذلك يجب وضعها في مكان عام. على سبيل المثال ، استخدم حامل المعلومات لهذا الغرض.

إذا قامت الشركة بجمع البيانات الشخصية عبر الإنترنت ، فهي ملزمة بوضع السياسة على الموقع الإلكتروني. يمكن لزائر الموقع مشاهدته من خلال النقر على الرابط.

للبقاء على اطلاع دائم بأهم التغييرات التجارية ، انضم إلى قناتنا على